Est aussi libre la fourniture, le transfert vers ou depuis un Etat membre de la communauté européenne ou l'importation et l'exportation des moyens de cryptologie dont la seule fonction cryptologique est une fonction d'authentification ou de contrôle d'intégrité, notamment à des fins de signature électronique. .

A coté de la liberté, la loi prévoit un mécanisme de déclaration préalable et un autre d'autorisation préalable auprès du Premier ministre.

Relèvent du régime de déclaration préalable la fourniture, le transfert depuis un Etat membre de la communauté européenne ou l'importation de moyens de cryptologie lorsqu'ils assurent d'autres fonctions que celle d'authentification ou de contrôle d'intégrité.

Relèvent du régime de l'autorisation préalable le transfert vers un Etat membre de la communauté européenne ou l'exportation de moyens de cryptologie lorsqu'ils assurent d'autres fonctions que celle d'authentification ou de contrôle d'intégrité.

Le Gouvernement, s'il accepte de libéraliser l'usage de la cryptologie souhaite néanmoins pouvoir contrôler les moyens qui permettraient d'assurer la confidentialité des données transmises via Internet.

Dans les deux cas, les conditions de déclaration ou d'autorisation feront l'objet d'un décret pour leur mise en œuvre, le projet de loi prévoyant par avance que le décret pourrait être l'occasion de dresser une liste de catégories de moyens qui pourraient être exonérées de formalité ou contraints à une obligation moindre.

Les entreprises dont l'activité est celle de fournir des prestations de cryptologie devront pour leur part, sous réserve d'en être exemptées par décret, faire l'objet d'une déclaration préalable auprès du Premier ministre. Sur ce point le texte ne distingue pas entre les prestations qui assurent la confidentialité des données de celles qui n'assureraient que l'authentification ou le contrôle d'intégrité. Le projet précise, s'il en était encore besoin, que ces prestataires sont assujettis au secret professionnel.

S'agissant plus précisément des prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, le projet précise qu'ils sont présumés responsables, jusqu'à preuve contraire, et malgré toute disposition contractuelle contraire, du "préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide de ces conventions". Cette présomption ne pourra être levée par ledit prestataire que s'il est en mesure de démontrer qu'il n'a commis aucune faute intentionnelle ou de négligence.

Le texte précise également l'étendue de la responsabilité des prestataires de certification électronique, que l'on retrouve essentiellement dans la réglementation du 13 mars 2000 et ses décrets.

Ainsi ces prestataires :
- sont présumés responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés comme qualifiés qu'elles délivrent, lorsqu'il s'avère que ces certificats ne sont pas qualifiés ;
- Doivent justifier d'une garantie financière suffisante, spécialement affectée au paiement des sommes qu'ils pourraient devoir aux personnes s'étant fiées raisonnablement aux certificats qualifiés qu'elles délivrent , ou d'une assurance garantissant les conséquences pécuniaires de leur responsabilité professionnelle. .

Cependant lesdits prestataires :
- peuvent lever cette présomption en apportant la preuve qu'ils n'ont commis aucune faute intentionnelle ou de négligence ;
- ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat.

On notera cependant que la notion de "garantie suffisante" n'est pas explicite, pas plus que ne l'est la notion de faute intentionnelle ou de négligence en cette matière nouvelle et spécifique. On notera aussi que curieusement, si pour la responsabilité des prestataires de signature électronique les termes de la responsabilité s'appliquent "nonobstant toute stipulation contractuelle contraire", cette précision textuelle n'existe pas dans l'article relatif à la responsabilité de prestataires de certification ce qui, sauf erreur de plume, permettrait de retenir une valeur aux réserves contractuelles des contrats conclus avec des tiers certificateurs.

L'article 22 du projet de loi confère au Premier ministre un pouvoir d'interdiction de mise en circulation de moyens de cryptologie et emporte même obligation de procéder au retrait des moyens mis en service avant le prononcé du retrait. Curieusement le même article est muet s'agissant des prestataires de cryptologie ou de certification qui eux ne respecteraient pas leurs obligations (couverture assurance, responsabilité…).

A la différence de bon nombre de dispositions de la loi LEN, celles relatives à la cryptologie sont assorties de sanctions pénales particulièrement dissuasives puisqu'elles emportent des peines d'emprisonnement possible de un ans à deux ans. Pour ce faire, l'article 24 du projet détaille en plus de cinq aliénas les compétences et moyens d'investigation des autorités compétentes dans la recherche d'éventuelles infractions sur la législation applicable en matière de cryptologie.

Toujours sur un plan pénal, le projet ajoute un dispositif fort intéressant qui vise à relever les peines encourues au titre d'une infraction dès lors que son auteur aura utilisé un moyen de cryptologie pour faciliter la préparation ou la commission de celle-ci.

On notera enfin que le texte retient une sorte de "clause de repentir" en précisant que l'article visant à relever les peines ne s'applique pas lorsque l'auteur ou le complice de l'infraction remet, à leur demande, aux autorités judiciaires ou administratives "la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement".

De même sera puni quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, aura refusé de la remettre ou de la mettre en œuvre sur réquisition judiciaire, la peine étant augmentée si le crime ou le délit a réellement été commis.

Il est par ailleurs fait obligation aux personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité de remettre aux agents compétents les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies. Le fait de ne pas déférer à cette demande étant considéré comme une infraction. Un décret devra être adopté permettant de définir les modalités pratiques de mise en œuvre de cette obligation et sa prise en charge financière par l'Etat.

Enfin le projet emporte modification et précision de la loi relative à la sécurité quotidienne au titre de la possibilité pour les autorités judiciaire de faire procéder dans des conditions définies dans la LEN a la "mise au clair des données chiffrées nécessaires à la manifestation de la vérité".

4.2. Lutte contre la cyber-criminalité
S'agissant de la lutte contre la cybercrimalité la LEN propose deux améliorations. La première vise le code de procédure pénale et, en forme de "toilettage" ajoute à un certain nombre d'articles relatifs aux investigations, les mots "données informatiques" là où jusqu'alors n'étaient employés que des références à des éléments purement "moléculaires" comme "document" et "objets".

Par ailleurs, la LEN renforce doublement les dispositions de la loi Godfrain, autrement connue comme les dispositions du code pénal en matière d'infraction dites informatiques.

A ce titre, la LEN procède à deux modifications :
- en renforçant les peines prévues aux articles 323-1 et 323-2 du Code pénal ;
- en créant une nouvelle incrimination à l'attention des personnes qui détiennent, offrent, cèdent ou mettent à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptée pour commettre une ou plusieurs infractions prévues aux articles 323-1 à 323-3 du code pénal.

[eric-barbry@alain-bensoussan.com]

Sommaire de la rubrique